Scribble at 2026-05-18 09:18:15 Last modified: unmodified

実際、Netflix に数日だけユーザ登録した人に大量のスパムが届いたり、Netflix へログインするパスワードと同じパスワードを使ったサイトから情報が漏洩したりと、Netflix を中心に色々な情報が漏洩しているという話は Reddit などでは周知の話題だ。もちろん、他のサイトへアクセスされてしまうのは同じパスワードを使いまわしているユーザの杜撰な情報管理の責任でもあるが、もともと漏洩してなければ実質的な問題がないという意味では Netflix にも責任の一端はあろう。

なんにせよ、Netflix に限らず多くの事業者がプライバシー・ポリシーに何を書いていようとユーザの個人情報や PII などを無断で売却したりデータ解析に流用しているリスクは、もはやオンライン・サービスを利用する上での常識と言ってもよく、そういう意味では弊社も含めてネット・ベンチャーなんて信用に値しないというのは確かだ。実際、ネット・ベンチャーの Chief Privacy Officer を公言している僕であっても、弊社でそういう杜撰な運用を全くしていないとは保証できない。一部の経営者や一部の従業員がどれほど誠実で真面目であろうと、組織というものは組織として有利な特徴を利用する身勝手な個人の集団にすぎないのであって、そこにいるヒトという生物は、家庭であれ、会社であれ、あるいは往来であれ、自分の無知や無頓着を常に色々な脈絡で反省しながら生活するものではない。そして、これはスーパーマンを理想とするかのような思い込みでもって非難するようなことではなく、最初からヒトの能力の限界だとか関心ごとの範囲の制約だとか、凡庸な人々の不見識なり無関心なりとして、いわば「社会的な脈絡での本能」として前提したり、制度や社内ルールをつくるうえで弁えておくべきことなのだ。

すると、僕がどれほど有能で誠実なサラリーマンであろうと、僕が起案して弊社が制定したプライバシー・ポリシーに興味がなく、それどころか顧客や同僚の個人情報やプライバシーを誰かに知らせることがどれほど重大なことかも理解していない人が弊社にいる可能性は常にある。そういう前提でマネジメントする必要がある。

ただし、ここで重要なのは、それが意図的であるとか、あるいは彼らが悪意で杜撰な仕事をしている可能性は低いということだ。もし社員の大半が意図的に会社で扱っている情報を名簿屋に転売しようとか、同僚が飲み会で話した病歴や財産関係の事実を保険屋なり探偵に売り払うといった目的で会社にいる・・・なんてことは想定することが困難であろう。僕が保守主義者として信じていることは大して多くないが、その一つは、たいていの人に悪意はないということである。凡人というものは単に無頓着で無知なだけである。それによって起きてしまう不幸な事故に反省を促す必要はあろうが、最初から彼らが他人を陥れたり他人へ迷惑をかけようとして杜撰な仕事をしているというのは偏見である。凡人というのは単に不見識で馬鹿で愚かなだけだ。そこに邪気や悪意はないのである。凡庸な人々は、悪意によって杜撰な仕事をしているのではなく、単に杜撰なのだ。これが「ノーマル」であるという見方は、たいていの人を見下しているわけではない。僕だってその一人にほかならず、色々なことに関心がないし無頓着なまま生きている。そのせいで色々な病状で通院するようにもなっているわけで、そういう意味では不見識だとの誹りをまぬかれない。

したがって、会社でもリスク管理や情報セキュリティの管理策を検討するときに大切なこととして、殆どのインシデントは悪意で起きるとは限らないという着眼点を持つことだ。悪意があれば、それだけ用意周到にやるものだが（まさか堂々と会社で他人の物品を持ち帰ったり、備品のパソコンを中古業者に自分の収入として引き取らせようとするやつなんて・・・まぁこのまえ辞めた営業マンで、退職金代わりに盗もうとしたやつがいたらしいけど、そんなやつは少ない）、たいていの事故は不注意や無知によるものであり、事前の注意や研修で回避できる可能性がある。背任を犯すようなやつは、最初から自分自身の悪意に自覚があるし意図もあるのだから、面接やふだんのやりとりでは分からないし、注意や研修にも偽りの態度で応対するのだから、会社は防ぎようも避けようもない。単に、そういうやつがいても悪事を働きにくい環境にするのが限度であろう。